| Title | pgAdmin ProjectのpgAdmin 4におけるアクセス制御に関する脆弱性 |
|---|---|
| Summary | pgAdmin 4サーバーモードにおける認可の脆弱性であり、サーバーグループ、サーバー、共有サーバー、バックグラウンドプロセス、デバッガーモジュールに影響します。複数のエンドポイントが、要求元ユーザーの識別でフィルタリングせずにユーザー所有オブジェクトを取得していました。認証済みユーザーは、オブジェクトIDを推測することで他のユーザーのプライベートサーバー、サーバーグループ、バックグラウンドプロセス、デバッガーの関数引数にアクセス可能でした。さらに、共有サーバー機能には複数の問題が含まれており、認証情報の漏洩(passexec_cmd、passfile、SSLキー)が発生しました。書き込み可能なpassexec_cmd(接続確立時に実行されるシェルコマンド)を介した特権昇格により、所有者のプロセスコンテキストで任意のコマンドを実行可能でした。SQLAlchemyセッションの変異による所有者データの破損も確認されています。いくつかの所有者限定フィールド(passexec_cmd、passexec_expiration、db_res、db_res_type)はAPI経由で非所有者によって書き込み可能であり、追加のフィールド(kerberos_conn、tags、post_connection_sql)はユーザーごとの永続性を欠いており、非所有者の編集により所有者のレコードが変更されていました。修正は、新しいserver_accessモジュールによるアクセス制御の集中化、UserScopedMixinによるすべてのユーザー所有モデルのスコープ設定、サーバーモードでアクセス拒否時にconnection_managerからHTTP 410を返す処理、merge / APIレスポンス / ServerManagerパスにおける非所有者向けの所有者限定フィールドの抑制、明示的な所有者限定書き込みガードの追加により行われました。修正は2つのプルリクエストで提供され、両者が参照されています。この問題はpgAdmin 4のバージョン9.15未満に影響を与えます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | May 11, 2026, midnight |
| Registration Date | May 28, 2026, 2:38 p.m. |
| Last Update | May 28, 2026, 2:38 p.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| pgAdmin Project |
| pgAdmin 4 9.15 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
May 28, 2026, 2:38 p.m. |
| Summary | Authorization vulnerability in pgAdmin 4 server mode affecting Server Groups, Servers, Shared Servers, Background Processes, and Debugger modules. Multiple endpoints fetched user-owned objects without filtering by the requesting user's identity. An authenticated user could access another user's private servers, server groups, background processes, and debugger function arguments by guessing object IDs. Additionally, the Shared Servers feature contained multiple issues including credential leakage (passexec_cmd, passfile, SSL keys), privilege escalation via writable passexec_cmd (a shell command executed when establishing the connection) allowing arbitrary command execution in the owner's process context, and owner-data corruption via SQLAlchemy session mutations. Several owner-only fields (passexec_cmd, passexec_expiration, db_res, db_res_type) were writable by non-owners through the API, and additional fields (kerberos_conn, tags, post_connection_sql) lacked per-user persistence so non-owner edits mutated the owner's record. Fix centralises access control via a new server_access module, scopes all user-owned models with a UserScopedMixin, returns HTTP 410 from connection_manager when access is denied in server mode, suppresses owner-only fields for non-owners across the merge / API response / ServerManager paths, and adds an explicit owner-only write guard. The remediation landed in two pull requests; both are referenced. This issue affects pgAdmin 4: before 9.15. |
|---|---|
| Publication Date | May 12, 2026, 1:17 a.m. |
| Registration Date | May 12, 2026, 4:14 a.m. |
| Last Update | May 14, 2026, 12:34 a.m. |